Re: Script firewall

2007-01-28 Par sujet franck 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Pascal Hambourg wrote:
 Vincent Bernat a écrit :

 le lien :  http://smhteam.info/upload_wiki/firewall.tar.gz

 Personnellement,  je  ne suis  pas  fan  du  surtraitement en  ce  qui
 concerne les états. Bon point de  traiter ce qui est --state NEW, mais
 personnellement,  je ne  ferai  pas tout  un  cinéma avec  ce qui  est
 RELATED et ESTABLISHED  (port  1024 et certains  messages ICMP). Cela
 peut t'apporter de mauvaises  surprises, notamment par exemple les DNS
 qui parlent de 53  à 53 ou les serveurs de temps  qui parlent de 123 à
 123.
 
 D'accord avec toi au sujet de la limitation des ICMP ESTABLISHED. Si on
 en reçoit un c'est qu'on l'a demandé. Par contre j'approuve la
 limitation des ICMP RELATED car certains types non indispensables
 (Redirect, Source Quench) peuvent servir à des attaques. Concernant la
 limitation des ports en RELATED, je ne connais pas d'application qui
 utilise des connexions TCP ou UDP RELATED sur des ports privilégiés. En
 tout cas ça ne gêne pas les protocoles comme DNS ou NTP qui n'utilisent
 que des connexions simples avec des états NEW et ESTABLISHED.
 
 Pareil pour  le coup de vérifier  les TCP flags.
 
 Et certaines combinaisons comme SYN,RST ou SYN,FIN ne sont pas
 strictement invalides puisqu'il y a une priorité entre flags. RST ayant
 priorité sur SYN, et SYN sur FIN, SYN+RST équivaut à RST et SYN+FIN
 équivaut à SYN. Or l'adage dit Be liberal in what you accept. Les
 combinaisons non standard ne peuvent affecter que des piles IP
 vulnérables. Ce n'est pas le cas de Linux, mais peut-être de l'OS de
 machines qui sont derrière.
 
 

Bonjour,

Pour les commentaires, je vous l'accorde, c'est pas tres explicite quand
on rentre dedans. J'ai remedie a cela dans la version sur mon poste.
Les ports 111, 2049 et 32765:32768 comme tu le mentionnais correspondent
bien a la gestion NFS (je me suis base sur le NFS HowTo).

Ensuite pour les ICMP en ESTABLISHED je suis d'accord. Vu que les seules
connexions icmp considerees comme ESTABLISHED sont les echo-reply, il
n'y a aucun risque.

Quant aux types ICMP consideres comme RELATED, la je trouve que cela se
complique. Il y a ce qui est appele les blind icmp attacks. Le type
source quench est utilise pour ralentir les connexions, de meme, les
protocol unreachable, port unreachable, et fragmentation needed peuvent
couper une connexion.
Du coup, je ne c'est plus trop comment faire. On ne peut pas interdire
tous les types ICMP. Si le protocole etait inutile on le saurait.

http://kerneltrap.org/node/5382

J'ai laisse destination unreachable, mais je ne sais plus trop quoi
autoriser/interdire pour que cela fonctionne correctement tout en
evitant au maximum les problemes mentionnes ci-dessus.

Pour ce qui est des combinaisons pour les TCP flags, je vous laisse tous
les deux juges ; je ne m'y connais pas assez.

- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF  9A3C C490 534E 75C0 89FE
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFvHgFxJBTTnXAif4RApYFAJ9miwe5DtpLBspMxNVi5jLzA3Zg3wCeJZbU
rnIdW2BReY/hk6fIk0PdD4I=
=kovO
-END PGP SIGNATURE-


___ 
Try the all-new Yahoo! Mail. The New Version is radically easier to use � The 
Wall Street Journal 
http://uk.docs.yahoo.com/nowyoucan.html


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Script firewall

2007-01-28 Par sujet Vincent Bernat 
OoO En cette fin de matinée radieuse du dimanche 28 janvier 2007, vers
11:16, franck [EMAIL PROTECTED] disait:

 Quant aux types ICMP consideres comme RELATED, la je trouve que cela se
 complique. Il y a ce qui est appele les blind icmp attacks. Le type
 source quench est utilise pour ralentir les connexions, de meme, les
 protocol unreachable, port unreachable, et fragmentation needed peuvent
 couper une connexion.

Il faudrait  vérifier le  cas de  Linux, mais le  source quench  et le
fragmentation  needed  doivent  venir   avec  un  fragment  du  paquet
original,  ce qui permet  de vérifier  l'authenticité du  paquet. Ce
fragment est peut-être  vérifié (à voir). Si c'est  le cas, les règles
sont inutiles  : si  un attaquant peut  intercepter tes paquets,  il a
d'autres moyens plus simples de couper ta connexion :)

 http://kerneltrap.org/node/5382

A priori, ce n'est donc pas supporté ou alors, récemment.
-- 
I AM NOT THE NEW DALAI LAMA
I AM NOT THE NEW DALAI LAMA
I AM NOT THE NEW DALAI LAMA
-+- Bart Simpson on chalkboard in episode 5F17


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Script firewall

2007-01-28 Par sujet franck 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Vincent Bernat wrote:
 OoO En cette fin de matinée radieuse du dimanche 28 janvier 2007, vers
 11:16, franck [EMAIL PROTECTED] disait:
 
  Il faudrait  vérifier le  cas de  Linux, mais le  source quench  et le
 fragmentation  needed  doivent  venir   avec  un  fragment  du  paquet
 original,  ce qui permet  de vérifier  l'authenticité du  paquet. Ce
 fragment est peut-être  vérifié (à voir). Si c'est  le cas, les règles
 sont inutiles  : si  un attaquant peut  intercepter tes paquets,  il a
 d'autres moyens plus simples de couper ta connexion :)
 
 http://kerneltrap.org/node/5382
 
 A priori, ce n'est donc pas supporté ou alors, récemment.

Au final, je pense qu'il faut deja etre conscient des problemes
possibles, car cela peut demander un peu de temps afin de palier a ca si
ce n'est pas deja regle ; pour moi en tout cas.

Le meilleur moyen reste de debrancher son cable reseau pour rester a
l'ecart des ennuis :p!

- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF  9A3C C490 534E 75C0 89FE
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFvKdJxJBTTnXAif4RAqMRAJ9mlFBWngruzbh1Gkqy4kpPruEmyACfUTcy
Tgw9sx8IywvDdNMkPVIGqZQ=
=+y7j
-END PGP SIGNATURE-




___ 
All new Yahoo! Mail The new Interface is stunning in its simplicity and ease 
of use. - PC Magazine 
http://uk.docs.yahoo.com/nowyoucan.html


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Script firewall

2007-01-28 Par sujet Pascal Hambourg 

franck a écrit :


Quant aux types ICMP consideres comme RELATED, la je trouve que cela se
complique. Il y a ce qui est appele les blind icmp attacks. Le type
source quench est utilise pour ralentir les connexions,


C'est bien pour cette raison que je recommande de le bloquer.


de meme, les
protocol unreachable, port unreachable, et fragmentation needed peuvent
couper une connexion.


L'ennui c'est que si on bloque ceux-là, on risque d'avoir des problèmes.


Du coup, je ne c'est plus trop comment faire. On ne peut pas interdire
tous les types ICMP.


Je crains qu'on ne puisse faire autrement que s'en remettre à la 
vérification du numéro de séquence TCP par le suivi de connexion de 
Netfilter pour classer un message d'erreur ICMP comme RELATED ou 
INVALID. Mais ça n'est efficace qu'avec les paquets ICMP liés à une 
connexion TCP.



Pour ce qui est des combinaisons pour les TCP flags, je vous laisse tous
les deux juges ; je ne m'y connais pas assez.


Moi non plus en fait, c'est pour ça que je ne filtre pas sur ce critère, 
ne voulant pas risquer de bloquer quelque chose qu'il ne faudrait pas.



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et

Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Script firewall

2007-01-28 Par sujet franck 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Pascal Hambourg wrote:
 franck a écrit :

 Quant aux types ICMP consideres comme RELATED, la je trouve que cela se
 complique. Il y a ce qui est appele les blind icmp attacks. Le type
 source quench est utilise pour ralentir les connexions,
 
 C'est bien pour cette raison que je recommande de le bloquer.
 
 de meme, les
 protocol unreachable, port unreachable, et fragmentation needed peuvent
 couper une connexion.
 
 L'ennui c'est que si on bloque ceux-là, on risque d'avoir des problèmes.
 
 Du coup, je ne c'est plus trop comment faire. On ne peut pas interdire
 tous les types ICMP.
 
 Je crains qu'on ne puisse faire autrement que s'en remettre à la
 vérification du numéro de séquence TCP par le suivi de connexion de
 Netfilter pour classer un message d'erreur ICMP comme RELATED ou
 INVALID. Mais ça n'est efficace qu'avec les paquets ICMP liés à une
 connexion TCP.
 
 Pour ce qui est des combinaisons pour les TCP flags, je vous laisse tous
 les deux juges ; je ne m'y connais pas assez.
 
 Moi non plus en fait, c'est pour ça que je ne filtre pas sur ce critère,
 ne voulant pas risquer de bloquer quelque chose qu'il ne faudrait pas.
 
 

Finalement, je vais enlever le filtrage sur les TCP flags a moins que
j'arrive un jour a etre certains du fonctionnement.
Du cote des paquets RELATED pour la chaine INPUT, je vais interdire le
type ICMP source-quench, et autoriser les autres pour le bon
fonctionnement, en faisant confiance a netfilter pour la redirection des
paquets en INVALID.

Merci beaucoup pour les avis de chacun.

- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF  9A3C C490 534E 75C0 89FE
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFvM70xJBTTnXAif4RAnpbAKDEbrdhlQz7IHI8iXsP75dMH4YA2wCgnSDY
9EZ1A7G8Ic8b0DLR0qbwjiY=
=mjH0
-END PGP SIGNATURE-


___ 
Try the all-new Yahoo! Mail. The New Version is radically easier to use � The 
Wall Street Journal 
http://uk.docs.yahoo.com/nowyoucan.html


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Script firewall

2007-01-27 Par sujet Vincent Bernat 
OoO En ce doux début de  matinée du mardi 23 janvier 2007, vers 08:41,
franck [EMAIL PROTECTED] disait:

 le lien :  http://smhteam.info/upload_wiki/firewall.tar.gz

 Explications :
[...]

Je pense que le problème de  ton firewall, c'est que tu documentes pas
assez. Je suppose que 111,  2049, 32765:32768, c'est pour le NFS, mais
tu devrais l'indiquer dans les commentaires.

Personnellement,  je  ne suis  pas  fan  du  surtraitement en  ce  qui
concerne les états. Bon point de  traiter ce qui est --state NEW, mais
personnellement,  je ne  ferai  pas tout  un  cinéma avec  ce qui  est
RELATED et ESTABLISHED  (port  1024 et certains  messages ICMP). Cela
peut t'apporter de mauvaises  surprises, notamment par exemple les DNS
qui parlent de 53  à 53 ou les serveurs de temps  qui parlent de 123 à
123. Tu  utilises un  OS qui fait  les bons  choix par défaut,  je lui
laisserais gérer cette partie tout seul comme un grand.

Pareil pour  le coup de vérifier  les TCP flags. Tu  évites de révéler
certaines informations  sur ton système,  mais tu rends  plus complexe
ton firewall.

Mais bon, ça se discute.
-- 
printk(KERN_WARNING %s: Short circuit detected on the lobe\n,
dev-name);
2.4.0-test2 /usr/src/linux/drivers/net/tokenring/lanstreamer.c


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Script firewall

2007-01-27 Par sujet Pascal Hambourg 

Vincent Bernat a écrit :



le lien :  http://smhteam.info/upload_wiki/firewall.tar.gz


Personnellement,  je  ne suis  pas  fan  du  surtraitement en  ce  qui
concerne les états. Bon point de  traiter ce qui est --state NEW, mais
personnellement,  je ne  ferai  pas tout  un  cinéma avec  ce qui  est
RELATED et ESTABLISHED  (port  1024 et certains  messages ICMP). Cela
peut t'apporter de mauvaises  surprises, notamment par exemple les DNS
qui parlent de 53  à 53 ou les serveurs de temps  qui parlent de 123 à
123.


D'accord avec toi au sujet de la limitation des ICMP ESTABLISHED. Si on 
en reçoit un c'est qu'on l'a demandé. Par contre j'approuve la 
limitation des ICMP RELATED car certains types non indispensables 
(Redirect, Source Quench) peuvent servir à des attaques. Concernant la 
limitation des ports en RELATED, je ne connais pas d'application qui 
utilise des connexions TCP ou UDP RELATED sur des ports privilégiés. En 
tout cas ça ne gêne pas les protocoles comme DNS ou NTP qui n'utilisent 
que des connexions simples avec des états NEW et ESTABLISHED.



Pareil pour  le coup de vérifier  les TCP flags.


Et certaines combinaisons comme SYN,RST ou SYN,FIN ne sont pas 
strictement invalides puisqu'il y a une priorité entre flags. RST ayant 
priorité sur SYN, et SYN sur FIN, SYN+RST équivaut à RST et SYN+FIN 
équivaut à SYN. Or l'adage dit Be liberal in what you accept. Les 
combinaisons non standard ne peuvent affecter que des piles IP 
vulnérables. Ce n'est pas le cas de Linux, mais peut-être de l'OS de 
machines qui sont derrière.



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et

Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Script firewall

2007-01-25 Par sujet franck 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

SOUBIE Sebastien wrote:
 Bonjour
 
 Avez-vous essayer le soft FIREWALLBUILDER qui permet de réaliser des
 scripts IPTABLES sous une interface Windows.
 Personnellement je le trouve très pratique.
 

En effet, on m'a deja parle de fwbuilder, mais j ai commence avec
iptables et j'ai envie de comprendre un peu mieux le fonctionnement, et
les differentes possibilites qu'il peut offrir. Mais, je pense que je
vais lui donner ca chance pour une config sur mon reseau local, et voir
ce que cela donne. Je ne peut pas le denigrer vu que je ne l'ai pas essaye.
Mais la, j'aimerais m assurer que je n'ai pas ecris de betises, j'ai
encore des ajouts a faire pour une connexion vpn, et une nouvelle interface.

- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF  9A3C C490 534E 75C0 89FE
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFuQLFxJBTTnXAif4RAtvMAKDABvnyoVSsuTSwFwkkOA+pfdKbwwCfYEHT
TZC6lzEJ4lU9pisDYgGF3H4=
=SCfR
-END PGP SIGNATURE-


___ 
Try the all-new Yahoo! Mail. The New Version is radically easier to use � The 
Wall Street Journal 
http://uk.docs.yahoo.com/nowyoucan.html


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Script firewall

2007-01-24 Par sujet franck 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

franck wrote:
 
 Bonjour,
 
 le lien :  http://smhteam.info/upload_wiki/firewall.tar.gz
 
 Explications :
 C'est le script present sur mon serveur a la maison.
 Mon serveur est connecte a Internet via une LiveBox (192.168.1.1) a
 partir de eth0 (192.168.1.10) et au lan a partir de eth1 (192.168.0.1).
 
 1/ Les services vu via sont ssh en port knocking et ftp via une
 redirection de port (10021 vers 21).
 2/ Cote lan, y a du NFS, du serveur web, ftp et ssh je crois que c tout.
 3/ Le masquerading est mis en place.
 
 J'avais ete faire un petit tour chez plouf (y a des idees) ! et j ai
 reprise l'idee de separer les differentes configurations en fichiers.
 
 Du coup, je me retrouve avec :
 - fw_config : me permettant de definir quelques options de configuration
 - fw_modules : permettant le chargement des modules iptables
 - fw_proc : pour l'initialisation des fichiers presents dans /proc
 - un fichier fw_main, fichier principal a lancer au demarrage du serveur
 - fw_wan : gerant les regles sur eth0
 - fw_lan : gerant les regles pour l'interface du reseau local
 - fw_forward_lan : pour la masqueradiing
 
 Y a des commentaires dans le soft.
 
 Autrement, question bonus :)! Quesl sont les types icmps qu'il faudrait
 ne pas rejeter pour un bon fonctionnement ?
 

Bonjour,

Je fais un petit up pour savoir si quelqu'un a jete un coup d'oeil et a
des remarques.

- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF  9A3C C490 534E 75C0 89FE
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFt+3KxJBTTnXAif4RAqZbAKDUNTqYueX1AivZ24SMsJL3f6Y2LwCfR62o
PzNa4o2fIxFDUgQKnbixaoQ=
=1go4
-END PGP SIGNATURE-


___ 
Try the all-new Yahoo! Mail. The New Version is radically easier to use � The 
Wall Street Journal 
http://uk.docs.yahoo.com/nowyoucan.html


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Script firewall

2007-01-22 Par sujet franck 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Bonsoir,

Avant tout je voulais savoir si je pouvais me permettre de demander aux
amateurs iptables presents sur cette liste, si ils pouvaient jeter un
coup d'oeil sur mon script firewall.

J'aimerais savoir ce qu'ils en pensent, et comment l'ameliorer si il est
pas trop foireux.

Si je peux, je renverrais un mail sur la liste, autrement j'irais faire
un tour sur la liste specifique.

Merci.

- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF  9A3C C490 534E 75C0 89FE
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFtSmMxJBTTnXAif4RApkGAKC4opFEnXruhFrPHF/zUi7cSu6QUgCgvnwR
0HSltXtNm4glVUAr2YFO0cY=
=0gQN
-END PGP SIGNATURE-




___ 
All new Yahoo! Mail The new Interface is stunning in its simplicity and ease 
of use. - PC Magazine 
http://uk.docs.yahoo.com/nowyoucan.html


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Script firewall

2007-01-22 Par sujet Pascal Hambourg 

Salut,

franck a écrit :


Avant tout je voulais savoir si je pouvais me permettre de demander aux
amateurs iptables presents sur cette liste, si ils pouvaient jeter un
coup d'oeil sur mon script firewall.


Pourquoi pas. S'il est long, tu peux le publier sur un site web et 
indiquer l'URL ici. Quelques conseils :


- Attention au formatage, en particulier aux lignes longues que le 
logiciel de courrier peut couper en deux, ce qui va gêner la lisibilité.


- Indique le cahier des charges/spécification de ce que le script est 
censé faire. Eventuellement des commentaires généreux peuvent suffire.



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et

Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Script firewall

2007-01-22 Par sujet franck 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Pascal Hambourg wrote:

 Pourquoi pas. S'il est long, tu peux le publier sur un site web et
 indiquer l'URL ici. Quelques conseils :
 
 - Attention au formatage, en particulier aux lignes longues que le
 logiciel de courrier peut couper en deux, ce qui va gêner la lisibilité.
 
 - Indique le cahier des charges/spécification de ce que le script est
 censé faire. Eventuellement des commentaires généreux peuvent suffire.
 
 

Bonjour,

le lien :  http://smhteam.info/upload_wiki/firewall.tar.gz

Explications :
C'est le script present sur mon serveur a la maison.
Mon serveur est connecte a Internet via une LiveBox (192.168.1.1) a
partir de eth0 (192.168.1.10) et au lan a partir de eth1 (192.168.0.1).

1/ Les services vu via sont ssh en port knocking et ftp via une
redirection de port (10021 vers 21).
2/ Cote lan, y a du NFS, du serveur web, ftp et ssh je crois que c tout.
3/ Le masquerading est mis en place.

J'avais ete faire un petit tour chez plouf (y a des idees) ! et j ai
reprise l'idee de separer les differentes configurations en fichiers.

Du coup, je me retrouve avec :
- - fw_config : me permettant de definir quelques options de configuration
- - fw_modules : permettant le chargement des modules iptables
- - fw_proc : pour l'initialisation des fichiers presents dans /proc
- - un fichier fw_main, fichier principal a lancer au demarrage du serveur
- - fw_wan : gerant les regles sur eth0
- - fw_lan : gerant les regles pour l'interface du reseau local
- - fw_forward_lan : pour la masqueradiing

Y a des commentaires dans le soft.

Autrement, question bonus :)! Quesl sont les types icmps qu'il faudrait
ne pas rejeter pour un bon fonctionnement ?

- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF  9A3C C490 534E 75C0 89FE
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFtbxExJBTTnXAif4RAncDAKCjnNBblNZKTfIm+1QM7pqpSCWAEACdHKCy
u5mHa1FQioIk1l++mYjxmFU=
=WNKp
-END PGP SIGNATURE-


___ 
Yahoo! Messenger - with free PC-PC calling and photo sharing. 
http://uk.messenger.yahoo.com


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Script firewall au =?ISO-8859-1?Q?d=E9marrage?=

2005-05-15 Par sujet Guillaume 
Leopold BAILLY a écrit :
Alors pourquoi ne pas faire confiance à ta distribution favorite ?
Bonjour et merci de la réponse !
En fait, je m'aperçoit que je suis un peu binaire : quand j'étais sous 
Mdk, j'utilisais ce script :-)
Tu trouveras dans Debian des paquets facilement configurables, qui font la 
même
chose et qui s'intègreront au mieux dans le reste du système.
Je regarderai !
Guillaume
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To:
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Script firewall au =?ISO-8859-1?Q?d=E9marrage?=

2005-05-14 Par sujet guillaume 
Bonjour.
J'ai récupéré sur trustonme.net un script basé sur ip-tables 
(http://www.trustonme.net/didactels/downloads/firewall)
et j'aimerais le lancer au démarrage.
Mais, bien sûr, je ne sais pas comment faire :'(

Qui pourrait-m'aider ?
Merci d'avance !
Guillaume
--
Mail garanti 0% Micro$oft
Envoyé par Thunderbird sous Debian Sarge
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To:
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Script firewall au =?iso-8859-1?q?d=E9marrage?=

2005-05-14 Par sujet Claude Reveret 
Le Samedi 14 Mai 2005 17:30, guillaume a écrit :
 Bonjour.
Salut,
 J'ai récupéré sur trustonme.net un script basé sur ip-tables
 (http://www.trustonme.net/didactels/downloads/firewall)
 et j'aimerais le lancer au démarrage.
 Mais, bien sûr, je ne sais pas comment faire :'(
Installe webmin, et dans la partie système, Actions de démarrage et d'arret, 
tu crée une nouvelle action.
 Qui pourrait-m'aider ?

 Merci d'avance !
@+, Claude

Re: Script firewall au =?iso-8859-1?B?ZOlt?= =?iso-8859-1?Q?arrage?=

2005-05-14 Par sujet Jacques L'helgoualc'h 
guillaume a écrit, samedi 14 mai 2005, à 17:30 :
 Bonjour.

bonjour,

 J'ai récupéré sur trustonme.net un script basé sur ip-tables 
 (http://www.trustonme.net/didactels/downloads/firewall)
 et j'aimerais le lancer au démarrage.

Le B.A-BA  de la sécurité,  c'est d'être parano  : il ne faut  pas faire
confiance à un script quelconque sans comprendre ce qu'il fait !

 Mais, bien sûr, je ne sais pas comment faire :'(

Le répertoire /etc/init.d/ sert à stocker les scripts de démarrage ; ils
sont  ensuite   appelés  via  les  liens   symboliques  des  répertoires
/etc/rc*.d/ : rcS.d au démarrage, rc0.d pour l'arrêt, rc6 pour rebouter,
les rc[1-5].d pour changer de niveau. 

Les  liens S démarrent  les scripts  avec l'argument  start, les  K avec
stop, dans l'ordre (alpha)numérique.

Donc mettre  ton parefeu.sh dans /etc/init.d/, le  rendre exécutable, et
créer un lien symbolique vers  lui depuis /etc/rc.S pourrait marcher ---
ça dépend  du contenu  du script. Idéalement,  le filtrage  devrait être
activé avant le réseau.

 Merci d'avance !

de rien, hop zat elpse
-- 
Jacques L'helgoualc'h


-- 
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Script firewall au =?ISO-8859-1?Q?d=E9marrage?=

2005-05-14 Par sujet Troumad 
Jacques L'helgoualc'h a écrit :
guillaume a écrit, samedi 14 mai 2005, à 17:30 :
 

Bonjour.
   

bonjour,
 

J'ai récupéré sur trustonme.net un script basé sur ip-tables 
(http://www.trustonme.net/didactels/downloads/firewall)
et j'aimerais le lancer au démarrage.
   

Le B.A-BA  de la sécurité,  c'est d'être parano  : il ne faut  pas faire
confiance à un script quelconque sans comprendre ce qu'il fait !
 

Mais, bien sûr, je ne sais pas comment faire :'(
   

Le répertoire /etc/init.d/ sert à stocker les scripts de démarrage ; ils
sont  ensuite   appelés  via  les  liens   symboliques  des  répertoires
/etc/rc*.d/ : rcS.d au démarrage, rc0.d pour l'arrêt, rc6 pour rebouter,
les rc[1-5].d pour changer de niveau. 

Les  liens S démarrent  les scripts  avec l'argument  start, les  K avec
stop, dans l'ordre (alpha)numérique.
Donc mettre  ton parefeu.sh dans /etc/init.d/, le  rendre exécutable, et
créer un lien symbolique vers  lui depuis /etc/rc.S pourrait marcher ---
ça dépend  du contenu  du script. Idéalement,  le filtrage  devrait être
activé avant le réseau.
 

Merci d'avance !
   

de rien, hop zat elpse
 

#!/bin/sh
# ATTENTION la ligne du dessus
# n'est pas un commentaire
# variable (ipt) pour l'appel à l'exécutable de iptables
# = tester le même script avec plusieurs version de iptables
ipt=/sbin/iptables
# Pour simplifier une modification éventuelle des cartes réseaux
LOCAL=eth0
NET=eth1
case $1 in
   start)
 Ton script
   stop)
  echo Arret du mur de feu
  # On vide (flush) toutes les regle existantes
  $ipt -F
  $ipt -X
  # On remet la police par defaut
  $ipt -P INPUT ACCEPT
  $ipt -P FORWARD ACCEPT
  $ipt -P OUTPUT ACCEPT
  ;;
   restart)
   # Le stop est inutile car le start vide aussi les chaînes et 
redéfinit les politiques par défaut
   # $0 stop
   # /bin/sleep 1
   #/usr/bin/sleep 1
   $0 start
   ;;

+ le mettre dans les /etc/rcX.d :
# ll /etc/rc1.d/
[...]
lrwxrwxrwx  1 root root 20 avr 16 21:41 K90firewall - /etc/init.d/firewall*
[...]
#ll /etc/rc2.d/
[...]
lrwxrwxrwx  1 root root 20 avr 16 21:42 S10firewall - /etc/init.d/firewall*
[...]
--
Amicalement vOOotre  Troumad Alias Bernard SIAUD
mon site : http://troumad.free.fr : ADD maths WEB sectes
Pour la liberté http://lea-linux.org http://www.eurolinux.org/index.fr.html
N'envoyez que des documents avec des formats ouverts, comme 
http://fr.openoffice.org

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To:
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Script firewall au =?iso-8859-1?B?ZOlt?= =?iso-8859-1?Q?arrage?=

2005-05-14 Par sujet Jacques L'helgoualc'h 
Troumad a écrit, samedi 14 mai 2005, à 18:38 :
 Jacques L'helgoualc'h a écrit :
 guillaume a écrit, samedi 14 mai 2005, à 17:30 :
[citations inutiles]

 #!/bin/sh
[...]
 # Pour simplifier une modification éventuelle des cartes réseaux
 LOCAL=eth0
 NET=eth1

# J'ai préféré mettre le fichier de configuration (plus long) à part

# définitions de variables
DEFS=/etc/network/fw.conf
if [ -f $DEFS ] ; then
source $DEFS
else
echo $0 : fichier de configuration $DEFS manquant... 2
exit 1
fi

version=$(uname -r)
case $version in
2.2.*)
source /etc/init.d/fw-2.2.sh
;;
2.4.*)
source /etc/init.d/fw-2.4.sh
;;
*)
echo erreur de version, noyau $version
exit 1
esac

 case $1 in
start)
  Ton script

à voir ...

stop)
   echo Arret du mur de feu
   # On vide (flush) toutes les regle existantes
   $ipt -F
   $ipt -X

   # On remet la police par defaut
   $ipt -P INPUT ACCEPT
   $ipt -P FORWARD ACCEPT
   $ipt -P OUTPUT ACCEPT

$iptables -F
$iptables -t nat -F
$iptables -t mangle -F

$iptables -X
$iptables -t nat -X
$iptables -t mangle -X

$iptables -P INPUT DROP
$iptables -P OUTPUT DROP
$iptables -P FORWARD DROP
$iptables -t nat -P PREROUTING ACCEPT
$iptables -t nat -P POSTROUTING ACCEPT
$iptables -t nat -P OUTPUT ACCEPT

$iptables -A OUTPUT -o lo -j ACCEPT
$iptables -A INPUT  -i lo -j ACCEPT

# Un bon firewall arrêté est un firewall *fermé*,
# je suis laxiste, je laisse le loopback ouvert.

   ;;
 
restart)
[...]
 + le mettre dans les /etc/rcX.d :
 
 # ll /etc/rc1.d/
 [...]
 lrwxrwxrwx  1 root root 20 avr 16 21:41 K90firewall - /etc/init.d/firewall*
 [...]
 #ll /etc/rc2.d/
 [...]
 lrwxrwxrwx  1 root root 20 avr 16 21:42 S10firewall - /etc/init.d/firewall*
 [...]

Je préfère démarrer avant le réseau, dans rcS.d, et ne jamais l'ouvrir ;
là, avec ta définition de stop),  la machine serait ouverte à tous vents
en mode single ...
-- 
Jacques L'helgoualc'h


-- 
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Script firewall au =?iso-8859-15?q?d=E9marrage?=

2005-05-14 Par sujet Leopold BAILLY 
guillaume [EMAIL PROTECTED] writes:

 Bonjour.

 J'ai récupéré sur trustonme.net un script basé sur ip-tables
 (http://www.trustonme.net/didactels/downloads/firewall)
 et j'aimerais le lancer au démarrage.
 Mais, bien sûr, je ne sais pas comment faire :'(

Alors pourquoi ne pas faire confiance à ta distribution favorite ?

Tu trouveras dans Debian des paquets facilement configurables, qui font la même
chose et qui s'intègreront au mieux dans le reste du système.

Personnellement, j'utilise shorewall.


Léo.

Re: Script firewall au =?iso-8859-1?q?d=E9marrage?=

2005-05-14 Par sujet Laurent Brayard 
guillaume [EMAIL PROTECTED] a écrit:

 Bonjour.

 J'ai récupéré sur trustonme.net un script basé sur ip-tables
 (http://www.trustonme.net/didactels/downloads/firewall)
 et j'aimerais le lancer au démarrage.
 Mais, bien sûr, je ne sais pas comment faire :'(

 Qui pourrait-m'aider ?

 Merci d'avance !


bonsoir,

Voilà ce que j'ai mis dans /etc/network/interfaces :

pre-up /etc/network/if-pre-up.d/rc.firewall.sh
post-down /etc/network/if-post-down.d/rc.firewall-stop.sh

-- 
Laurent

Pour me répondre enlever le .PASDEPUB

-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]


-- 
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: script firewall en setuid root - insecure dependency

2003-08-31 Par sujet Gregoire Cachet 
Le dim 31/08/2003  03:12, Nicolas Boisselier a crit :
 Pour infos cette mthode n'est pas crade et est mme prfrable!
 
 Tant que tu peux, passes les arguments sous forme de tableau:
   system(ls,-1);
 Sinon passe un seul argument:
   system(ls -1 | wc -l);

de la a passer un tableau avec plus de 10 elements, ca fais moche je
trouve ! et coder comme ca, c'est un peu pnible !

-- 
Grgoire CACHET
http://www.audacy.fr

[perl] script firewall en setuid root - insecure dependency

2003-08-30 Par sujet Gregoire Cachet 
Bonjour,

J'essaye de mettre au point un petit script en perl pour pouvoir
modifier quelques regles de mon firewall sans tre connect en root

Quand ppp se connecte, il place l'adresse IP que me donne mon provider
dans /var/www/serveur/ip.conf, qui a les droits :
-rwxr--r--1 root www-data   14 ao 30 07:48
/var/www/serveur/ip.conf

par la ligne suivante dans /etc/ppp/ip-up :
echo -n $4  /var/www/serveur/ip.conf


J'ai ensuite cr un script firewall.pl avec les droits -rwsr-x--- qui
appartient a root et au groupe firewall, afin que tout utilisateur du
groupe firewall puisse l'executer

Pour appliquer certaines regles, j'ai besoin de connaitre mon adresse IP
externe, celle qui se trouve dans /var/www/serveur/ip.conf

Voici ce que contient mon script firewall.pl :

#! /usr/bin/perl

$ENV{'PATH'} = '/bin:/usr/bin:/sbin';
delete @ENV{'IFS', 'CDPATH', 'ENV', 'BASH_ENV'};

my $ip = ;

my $l = ;
 open(DESCR,/var/www/serveur/ip.conf);
 while (defined(my $l=DESCR)) {$ip.= $l;}
 close(DESCR);

#print($ip);

my $iptables = '/sbin/iptables';

# La il y a des regles qui ne font que des choses classiques
# c'est ici que ca se complique :
# J'ai une 'insecure dependency in system' a la ligne ci dessous. Cela 
# provient de la variable $ip car si je la remplace par sa valeur, je 
# n'ai plus de pb.

system($iptables. -t nat -A PREROUTING -i ppp+ -p tcp -d .$ip.
--dport 4661 -j DNAT --to 192.168.1.1:4661);
system($iptables. -t nat -A PREROUTING -i ppp+ -p tcp -d .$ip.
--dport 4662 -j DNAT --to 192.168.1.1:4662);
system($iptables. -t nat -A PREROUTING -i ppp+ -p udp -d .$ip.
--dport 4665 -j DNAT --to 192.168.1.1:4665);
system($iptables. -A FORWARD -i ppp+ -o eth0 -p tcp -d 192.168.1.1
--dport 4661 -j ACCEPT);
system($iptables. -A FORWARD -i ppp+ -o eth0 -p tcp -d 192.168.1.1
--dport 4662 -j ACCEPT);
system($iptables. -A FORWARD -i ppp+ -o eth0 -p udp -d 192.168.1.1
--dport 4665 -j ACCEPT);


Comment faire pour ne plus avoir ce probleme li a l'execution en setuid
root ? J'ai cherch un option pour forcer perl, mais je n'ai pas trouv
...

Merci d'avance pour votre aide

-- 
Grgoire CACHET
http://www.audacy.fr

Re: [perl] script firewall en setuid root - insecure dependency

2003-08-30 Par sujet François Boisson 
On Sat, 30 Aug 2003 09:15:10 +0200
Gregoire Cachet [EMAIL PROTECTED] wrote:

 Bonjour,
 

Bonjour


 $ENV{'PATH'} = '/bin:/usr/bin:/sbin';

puet être le /sbin dans le PATH (je n'y crois pas, cf plutôt plus bas)

 
 system($iptables. -t nat -A PREROUTING -i ppp+ -p tcp -d .$ip.
 --dport 4661 -j DNAT --to 192.168.1.1:4661);

Pour exécuter une commande système dans un script suid root, il est
préférable de séparer le camooande des arguments, en clair essayes system
$iptables, -t nat -A PREROUTING -i ppp+ -p tcp -d .$ip. --dport 4661 -j
DNAT --to 192.168.1.1:4661

(tiens Edonkey!)

Ca devrait mieux marcher.
Le mieux est de préciser le chemin complet de la commande dans $iptables.

En espérant que ça marche

François Boisson

Re: [perl] script firewall en setuid root - insecure dependency

2003-08-30 Par sujet Gregoire Cachet 
Le sam 30/08/2003  12:18, Franois Boisson a crit :

 Bonjour
 
Bonjour,

 
  $ENV{'PATH'} = '/bin:/usr/bin:/sbin';
 
 puet tre le /sbin dans le PATH (je n'y crois pas, cf plutt plus bas)
 

je viens de le retirer, il servait a rien de toute les facons, parce que
j'avais 

my $iptables = '/sbin/iptables';

ayant vu sur internet que cela pouvais etre source d'insecure dependency
...

  
  system($iptables. -t nat -A PREROUTING -i ppp+ -p tcp -d .$ip.
  --dport 4661 -j DNAT --to 192.168.1.1:4661);
 
 Pour excuter une commande systme dans un script suid root, il est
 prfrable de sparer le camooande des arguments, en clair essayes system
 $iptables, -t nat -A PREROUTING -i ppp+ -p tcp -d .$ip. --dport 4661 -j
 DNAT --to 192.168.1.1:4661
 

Deja un bon point, je viens de comprendre quelque chose :
la virgule sert a sparer la commande des arguments, je ne comprenais
pas pourquoi il y avait une virgule sur les documents sur le net, je
pensais a la concatnation, mais pourquoi pas un . ?
j'ai donc spar la commande de ses arguments a l'aide de la virgule.
Cependant il a l'air de prendre en compte toute la fin de la chaine
comme un seul caractere, ce qui ne plait pas a iptables qui m'injurie
... 
Dois-je placer des virgules entre chaque argument ?? c'est un peu lourd
... 
D'autant plus que 

system($iptables. -P FORWARD DROP);

fonctionne sans pb avec le . par exemple

Je pense donc bien qu'il s'agit de la variable $ip qui met le bordel ...
en plus quand je la remplace par sa valeur a la main, il n'y a pas de pb

 (tiens Edonkey!)

gagn ;-)

 
 Ca devrait mieux marcher.
 Le mieux est de prciser le chemin complet de la commande dans $iptables.
 
 En esprant que a marche
 

eh non sniff ...

merci pour ton aide !

-- 
Grgoire CACHET
http://www.audacy.fr

Re: script firewall en setuid root - insecure dependency

2003-08-30 Par sujet Gregoire Cachet 
Le dim 31/08/2003  01:17, Nicolas a crit :
 Pour t'aider en perl: perldoc -f system
 
 Tu as ainsi de la doc sur le l'utilisation d'une fonction.
 

merci, c'est mieux que google ;-)

bon, et bien j'ai fais la *methode super crade que je redoutais de
faire* ... j'ai spar tous les arguments par une virgule ... et ca
marche !

merci a tous pour votre aide si precieuse ;-)

-- 
Grgoire CACHET
http://www.audacy.fr

Re: script firewall en setuid root - insecure dependency

2003-08-30 Par sujet Nicolas Boisselier 
Pour infos cette méthode n'est pas crade et est même préférable!

Tant que tu peux, passes les arguments sous forme de tableau:
system(ls,-1);
Sinon passe un seul argument:
system(ls -1 | wc -l);

Le Sun, Aug 31, 2003 at 02:23:02AM, Gregoire Cachet a écrit:
 Le dim 31/08/2003 à 01:17, Nicolas a écrit :
  Pour t'aider en perl: perldoc -f system
  
  Tu as ainsi de la doc sur le l'utilisation d'une fonction.
  
 
 merci, c'est mieux que google ;-)
 
 bon, et bien j'ai fais la *methode super crade que je redoutais de
 faire* ... j'ai séparé tous les arguments par une virgule ... et ca
 marche !
 
 merci a tous pour votre aide si precieuse ;-)
 
 -- 
 Grégoire CACHET
 http://www.audacy.fr
 
 
 -- 
 Pensez à lire la FAQ de la liste avant de poser une question :
 http://savannah.nongnu.org/download/debfr-faq/html/
 
 To UNSUBSCRIBE, email to [EMAIL PROTECTED]
 with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
 
---end quoted text---

-- 
Email: [EMAIL PROTECTED]
Adr: 174 avenue Raymond Naves 31500 TOULOUSE
Tel: 05 61 20 44 94